Analyse der internen Kommunikationsschnittstelle von SAP HANA

Von:

6. September 2017

SAP HANA ist ein Produkt, das in vielen SAP-Umgebungen rasant an Bedeutung gewinnt und sich von einer reinen In-Memory-Datenbank zu einem kompletten Anwendungs- und Datenbanksystem entwickelt hat. Im heutigen Blogbeitrag befassen wir uns mit der internen Kommunikationsschnittstelle von SAP HANA, erörtern deren Einsatz in verschiedenen Szenarien, die damit verbundenen Konfigurationsparameter sowie die verschiedenen Optionen, die SAP-HANA-Administratoren zur Absicherung ihrer Systeme in Betracht ziehen sollten. Außerdem führen wir eine Analyse der in SPS 12 eingeführten Standardkonfiguration durch und untersuchen verschiedene Parameter sowie deren Auswirkungen auf die Gesamtsicherheit.

Szenarien

Aus Gründen der Skalierbarkeit und Verfügbarkeit kann SAP HANA auf einem oder mehreren Hosts bereitgestellt werden. Wie Sie vielleicht wissen, besteht ein SAP-HANA-System aus mehreren Prozessen, die zusammenarbeiten, wie die folgende Abbildung zeigt:

Bild 1: Es werden nur die für diesen Blogbeitrag relevanten Prozesse angezeigt

Diese Prozesse können auf demselben Host (Ein-Host-Bereitstellung) oder auf mehreren Hosts (Mehr-Host-Bereitstellung) ausgeführt werden. In beiden Fällen müssen diese Prozesse miteinander kommunizieren, was über eine Schnittstelle namens„SAP-HANA-interneKommunikation“ erfolgt.

Szenario mit einem einzigen Host

In Szenarien mit einem einzigen Host laufen alle Prozesse auf demselben Host und nutzen die Loopback-Schnittstelle, um miteinander zu kommunizieren.

Auf dem obigen Bild sehen wir jeden Prozess mit dem TCP-Port, der für die interne Kommunikationsschnittstelle verwendet wird.

In diesem Szenario ist die Standardkonfiguration für SPS > 06 sicher, da alle Prozesse ausschließlich an die Loopback-Schnittstelle gebunden und vom externen Netzwerk aus nicht erreichbar sind.Wir werden später erläutern, wie diese Standardkonfiguration funktioniert und wie sie von SAP implementiert wurde.

Szenario mit mehreren Hosts

Falls das SAP-HANA-System aus mehr als einem Host besteht, verfügt jeder Host über einen Teil der Prozesse, die für den Betrieb des Systems erforderlich sind. Die folgende Abbildung veranschaulicht dies:

Hier kommuniziert jeder Prozess nicht nur mit anderen Prozessen auf demselben Host, sondern auch mit Prozessen auf anderen Hosts.

Das von diesen Schnittstellen verwendete Protokoll wird intern als „TrexNet“ bezeichnet, wie die folgenden Log-Einträge zeigen:

Es handelt sich um ein von SAP entwickeltes proprietäres Protokoll mit folgenden Merkmalen: Es ist undokumentiert, verfügt über keinen Authentifizierungsmechanismus und scheint von einem anderen SAP-Produkt namens Trex übernommen worden zu sein.

Wiedergabemodi

Die internen Kommunikationsschnittstellen von SAP HANA können auf drei verschiedene Arten konfiguriert werden: lokal, intern und global.

Imlokalen Modussind die internen Kommunikationsschnittstellen ausschließlich an den lokalen Host gebunden, was bedeutet, dass sie vom Netzwerk aus nicht erreichbar sind. Dies ist die Standardkonfiguration für Bereitstellungen auf einem einzelnen Host, da für diese Art der Kommunikation keine Anforderungen bestehen.

Bei Auswahlder Option „Intern“werden die internen Kommunikationsschnittstellen an ein bestimmtes Netzwerk gebunden, das vom externen Netzwerk isoliert sein sollte und ausschließlich für die Kommunikation zwischen den verschiedenen SAP-HANA-Hosts und -Prozessen genutzt werden darf. Dies ist die sicherste Konfiguration, aufgrund der Netzwerkanforderungen jedoch auch die am schwierigsten zu realisierende.

Die letzte Option, die als „global“ bezeichnet wird, bindet interne Kommunikationsschnittstellen an dieselbe Schnittstelle, die für allgemeine Zwecke genutzt wird. Das bedeutet, dass jeder Angreifer, der Zugriff auf das SAP-HANA-System erhält, auch Zugriff auf die internen Schnittstellen hat.Um dies zu vermeiden, wird dringend empfohlen, bei Wahl dieser Konfiguration die Verschlüsselung zu aktivieren. Wie das funktioniert, werden wir später erläutern.

Wie SAP HANA hinsichtlich der internen Kommunikationsschnittstellen konfiguriert ist, wird durch den Wert des Parameters „[communication] listeninterface“bestimmt. Wie bereits erläutert, kann dieser drei verschiedene Werte annehmen: „.local“, „.internal“ und „.global“. Sie können den aktuellen Wert überprüfen, indem Sie die folgende SQL-Anweisung ausführen:

SELECT * FROM "PUBLIC" . "M_INIFILE_CONTENTS" WHERE SECTION = 'communication' AND KEY = 'listeninterface';

Verschlüsselung und Authentifizierung

Zudem ist es möglich, eine Verschlüsselung für die internen Kommunikationsschnittstellen zu aktivieren. Je nach SPS-Version kann dies auf unterschiedliche Weise erfolgen.

For SAP HANA SPS < 10 the process of enabling encryption had to be performed manually, in this blogpost we’ll focus in SAP HANA SPS => 10.

Bei SAP HANA SPS 10 richtet das System während der Installation eine PKI-Infrastruktur ein, die zur Absicherung der internen Kommunikationsschnittstellen und zum Schutz des Datenverkehrs zwischen den verschiedenen Prozessen und SAP-HANA-Hosts dient. Dies ist die bevorzugte Methode zur Absicherung des Systems, da sie automatisch erfolgt und die Zertifikate bei Bedarf erneuert werden.

Ein wichtiger Punkt, der erwähnt werden sollte, ist der in der SAP-Sicherheitsnotiz 2175672 beschriebene Sachverhalt. Die Verschlüsselung ist standardmäßig deaktiviert.Sie kann aktiviert werden, indem der Parameter „[communication] ssl“auf„systempki“geändert wird.

Durch den Einsatz der PKI-Infrastruktur verfügt jeder Host des SAP-HANA-Systems über ein Zertifikatspaar, mit dem sich die Endpunkte vor Beginn der Kommunikation gegenseitig authentifizieren. Die folgende Abbildung veranschaulicht alle Szenarien, die durch diese Konfiguration geschützt sind:

Quelle: https://help.sap.com/viewer/b3ee5778bc2e4a089d3299b82ec762a7/2.0.00/en-US/def770d6bb5710149f32a6c5593f5877.html

Mit der neuen Standardkonfiguration wird die interne Kommunikation für verschiedene Szenarien authentifiziert, zum Beispiel:

  • Prozessübergreifende Kommunikation in Umgebungen mit einem einzigen Host
  • Host-zu-Host-Kommunikation in Umgebungen mit mehreren Hosts
  • Kommunikation zwischen Mandanten-Datenbanken und in mandantenfähigen Bereitstellungen

Schlussfolgerungen

Zu wissen, welche Schnittstellen verfügbar sind und welche Risiken sie mit sich bringen könnten, ist entscheidend für den Schutz Ihrer SAP-HANA-Systeme. In diesem Beitrag haben wir uns mit den internen Kommunikationsschnittstellen befasst und erfahren, wie man assess Zustand richtig assess . Wie immer ist es äußerst wichtig, die Systeme auf dem neuesten Stand zu halten. So ist beispielsweise in der neuesten SPS-Version von SAP HANA die Standardkonfiguration sicher, was Kunden dabei hilft, ohne großen Aufwand ein gutes Sicherheitsniveau zu erreichen. In weiteren Blogbeiträgen werden wir verschiedene Aspekte der SAP-HANA-Sicherheit weiter analysieren. Bleiben Sie dran.

Literaturverzeichnis

https://help.sap.com/viewer/ports
https://help.sap.com/doc/6b94445c94ae495c83a19646e7c3fd56/2.0.00/en-US/bbcb76c7fa7f45b4adb99e60ad6c85ba.html
https://uacp2.hana.ondemand.com/viewer/742945a940f240f4a2a0e39f93d3e2d4/1.0.12/en-US/eccef06eabe545e68d5019bcb6d8e342.html
https://help.sap.com/doc/6b94445c94ae495c83a19646e7c3fd56/2.0.00/en-US/6edf6e3cca6341e1adcc99febf07dcfb.html
https://help.sap.com/doc/eec734dbb0fd1014a61590fcb5411390/1.0.12/en-US/SAP_HANA_Security_Guide_en.pdf
https://launchpad.support.sap.com/#/notes/2175672

Stichworte, , , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen